书管理公钥，通过第三方可信任机构认证中心(certificate authority，ca)把用户的公钥和用户的其它标识信息捆绑在一起，用于在internet上进行用户身份验证。通过把要在internet上传输的数据进行加密，保证电子商务信息的保密性和完整性，通过数字签名保证参与电子商务者身份的真实性并防止抵赖。
2.pki的组成。一个完整的pki应用系统至少应包含以下几部分：
(1)数字认证中心ca及数字安全证书。ca是一个负责发放和管理数字安全证书的第三方权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。认证中心主要有以下几种功能：证书的颁发；证书的更新；证书的查询；证书的作废；证书的归档。
数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份。数字安全证书是由权威公正的第三方机构即ca中心签发的，以数字安全证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障电子商务应用的安全性。

数字安全证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥)，用它进行解密和签名；同时拥有一把公共密钥(公钥)并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。
公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字信封和数字签名。
数字信封的功能类似于普通信封，普通信封在传统法律约束下能够确保只有收信人才能阅读信件内容，数字信封则采用密码技术保证只有规定的接收者才能阅读信息内容，在电子商务过程中信息的发送方首先利用随机产生的对称密码加密要传送的信息，再利用接收方的公钥加密对称密码，被加密后的对称密码就被称为数字信封，信息接收方收到信息后必须先利用自己的私钥对数字信封解密，才能得到对称密码，然后利用对称密码看到自己需要的信息内容，这样就确保了信息的保密性。
数字签名是指用户用自己的私钥对要发送的原始数据的哈希摘要进行加密所得的数据，接收方使用信息发送方的公钥对附在原始信息后的数字签名进行解密获得哈希摘要，并通过与自己收到的原始数据产生的哈希摘要对照，便可确认原始信息是否被篡改，这样就可以确保信息的真实性和传输的完整性。采用数字签名，能够确认以下3点：
(a)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；
(b)保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。
(c)签名是不可重用的，签名是文件的一部份，不可能再将签名移动到其它文件上。
数字安全证书的格式一般采用x.509国际标准。它包含了以下几点：数字安全证书拥有者的名称、数字安全证书拥有者的公共密钥、公共密钥的有效期、颁发数字安全证书的单位、数字安全证书的序列号，颁发数字安全证书单位的数字签名等内容。
数字安全证书根据应用领域的不同一般有：个人数字安全证书、机构数字安全证书、个人签名安全证书、机构签名安全证书、设备安全数字证书等几种类型。
(2)x.500目录服务器。x.500目录是一个全球性的信息通讯目录，由不同的国家或组织拥有和管理不同的部分，x.500目录服务器主要用于发布用户的数字安全证书和黑名单信息，用户可以通过标准的ldap协议查询自己或他人的证书并下载黑名单信息。
(3)具有高强度密码算法安全套接层(ssl)协议。web的安全问题涉及到前面提及的计算机网络安全问题，同时还有新的挑战，web具有双向性，很容易受到来自internet的攻击，ssl(安全套接层协议)是一种工作在tcp/ip模型传输层的具有高强度密码算法的协议，基于ras和保密密钥的安全连接技术，它在两个结点之间建立安全的tcp连接，通过加密传输信道、数字签名和数字证书可以实现客户端和服务器双方的身份验证，安全强度很高。
ssl协议由两层构成，底层为ssl记录协议，它为各种高层协议提供基本的安全服务，常用的http服务可以在ssl的上层实现；ssl高层为握手协议、更改密码规则协议和警告协议，这些特定的协议可以管理ssl的交换。记录协议和握手协议是ssl协议体系中的两个主要协议，其中记录协议用于确定数据安全传输的模式，握手协议用于客户机和服务器建立起安全连接之前交换一系列的安全信道，这些安全信息主要包括：客户机确定服务器的身份；允许客户机和服务器选择双方共同支持的一系列加密算法；服务器确定客户机的身份；通过非对称密码技术产生双方共同的密钥和建立ssl的加密安全通道等内容。
ssl最初由netscape公司开发，现在已经成为internet用来鉴别网站和浏览者身份，以及在浏览器使用者及网站服务器之间进行加密通信的全球化标准。
(4)web安全通信平台。电子商务过程通常会涉及web服务器和web客户端两部分，服务器端和客户机端通过具有高强度密码算法的ssl协议保证客户端和服务器端数据的安全。
3.pki密钥产生、管理及信任模型。数字安全

上一页  [1] [2] [3] 下一页